Klar til persondataforordningen?

Snart skriver kalenderen den 25. maj 2018. Og som de fleste nok ved, så er det der, EU’s nye persondataforordning træder i kraft. Og hvad er det nu lige, det helt konkret betyder? Det er en dato, som mange virksomheder frygter lidt. For med den nye persondataforordning kommer der strengere krav, som alle virksomheder skal forholde sig til – og naturligvis overholde. Bliver kravene ikke overholdt, har EU nemlig varslet ret store bøder. Bøder på op til 4 % af virksomhedens årlige globale omsætning eller 20 millioner Euro – alt efter hvilket beløb der er højest.
Frygten bunder nok for de fleste i, at de ikke er helt klar over, hvad den nye forordning indeholder. Vi giver derfor her et kort indblik i, hvad persondataforordningen indeholder.

Udgangspunktet for forordningen er at give de registrerede (privatpersoner, medarbejdere, kunder osv.) større gennemsigtighed og medbestemmelse over, hvem der har informationer om dem, og hvilke data de har. Dermed får de registrerede større rettigheder over deres egne data. Og det er jo ikke en dårlig ting. Det er også vigtigt at understrege, at persondataforordningen udelukkende har til formål at skabe tryghed hos alle EU-borgere, da der bliver større gennemsigtighed i forhold til, hvordan deres data bliver behandlet og hvem, der behandler dem.

Dataansvarlig og databehandler

• Dataansvarlig er den der afgør, hvilke data der behandles.
  • Den dataansvarlige er ansvarlig for overholdelse af forordningen i relation til databehandling.
• Databehandler kendetegnes ved at behandle (personoplysninger) på vegne af en dataansvarlig.
  • Databehandleren er ansvarlig for overholdelse af forordningen i relation til teknologi.

Hvis du er leverandør af en service til en virksomhed, og bruger virksomhedens data til at udføre dit arbejde, så er du databehandler. Det kan f.eks. være hvis du er reklamebureau, advokatfirma eller it-konsulent.

Ret til at information

Enhver registreret person har ret til både at få oplysninger om, hvem der har registreret data om vedkommende, og hvilke data der er registreret. Derfor skal man som virksomhed lave en procedure for, hvordan man håndterer en sådan henvendelse. Og man skal som virksomhed selvfølgelig have styr på, hvilke data, man har om personen, og hvor dataene bliver lagret, så man kan lave en udspecificering af registrerede data.

Udpeg en ansvarlig for databeskyttelse

For nogle virksomheder bliver det obligatorisk at udpege en DPO (Data Protection Officer), som er ansvarlig for databeskyttelse. Det gælder virksomheder, der behandler store mængder data og offentlige myndigheder. Vi anbefaler dog alle virksomheder at udpege en ansvarlig for databeskyttelse (dog ikke nødvendigvis at ansætte en DPO). Hvis der skulle opstå en fejl, er det ikke så heldigt, hvis alle i virksomheden tror, at det er en anden person, der tager sig af fejlen. Derfor er det altså en rigtig god idé at få en ansvarlig.

Databehandleraftale

Ifølge forordningens artikel 28 skal en dataansvarlig sikre overholdelse af en række krav til enhver databehandler, der behandler data på vegne af den dataansvarlige. Det er derfor din pligt at sikre, at dem der behandler din virksomheds data underlægges en databehandleraftale, som overholder forordningens krav. Er du selv databehandler, har du også selv pligt til at sikre, at du er har en databehandleraftale.
Det kan tage rigtig lang tid at lave en databehandleraftale. Specielt hvis man ikke er vant til at have med juridiske termer og vendinger at gøre. Datatilsynet har lavet en skabelon, som gør det en hel del nemmere. Vi har selv brugt den til at udarbejde vores egen databehandleraftale. Skabelonen kan findes lige her.

Fortegnelse

Forordningen stiller krav om, at man skal føre en intern fortegnelse over ens behandling af personoplysninger. Kravet skal ses som en hjælp til at kunne påvise, at man faktisk opfylder kravene i forordningen ved altid at have en klar oversigt over ens databehandlingsaktiviteter.

Der er ikke noget krav til fortegnelsens format, så længe den kan findes skriftligt og elektronisk. Fortegnelsen skal da også mest ses som en intern øvelse, som Datatilsynet dog kan bede om at få, hvis de finder det relevant. Da vi lavede vores egen interne fortegnelse, brugte vi IT-Branchens skabelon. Den kan findes lige her.

Retten til at blive glemt

Enhver registreret person har ret til at få sine data slettet fra enhver registrant. Det betyder, at hvis en person henvender sig til en virksomhed, og beder om at få slettet alle data om vedkommende, er virksomheden forpligtet til at efterkomme det krav og dokumentere, at dataene er blevet slettet.
Hvem har ansvaret, hvis det går galt, og data kommer på afveje?
Indtil persondataforordningen træder i kraft vil svaret være, at det må være den dataansvarlige. Men med forordningen kan databehandler også stilles til ansvar, hvis databehandleren ikke har sikret data med passende tekniske og organisatoriske foranstaltninger.

Hvornår er noget slettet?

Der er stadig mange, der er usikre på, hvornår data er helt slettet. Er det nok at flytte filer i papirkurven og efterfølgende tømme papirkurven, eller er det nok at lave en formattering?
Da store dele af den nuværende persondatalovgivning forbliver uændret efter ikrafttrædelse af EU’s nye persondataforordning, forventes det også, at samme regler og foranstaltninger for datasletning gælder. Derfor forventes det, at Datatilsynets vejledning nr. 37 af 2. april 2011 også består. Den lyder:

“Data kan i almindelighed ikke slettes tilstrækkelig effektivt fra f.eks. en harddisk, USB-nøgle eller mobiltelefon (hukommelseskort) ved hjælp af de standardfunktioner, som er til rådighed i et operativsystem. Data vil således ikke blive slettet effektivt ved f.eks. at slette en fil i Windows og efterfølgende tømme papirkurven. Data slettes heller ikke effektivt ved en formattering.
I Datatilsynets sikkerhedsvejledning (vejledning nr. 37 af 2. april 2001) er det nærmere angivet, hvorledes sikkerhedsbekendtgørelsens krav vil kunne opfyldes. Det fremgår heraf, at

• Ved kassation af lagringsmedier og udstyr, som indeholder personoplysninger, bør lagringsmedierne destrueres eller afmagnetiseres, så der ikke er mulighed for at læse indholdet.
• Hvis den dataansvarlige frem for at destruere lagringsmedier afhænder disse med henblik på genbrug, skal lagrede oplysninger slettes effektivt ved overskrivning.
• Datatilsynet anbefaler, at der til overskrivning af datamedier anvendes et af de dertil beregnede specialprogrammer, som overskriver data flere gange i overensstemmelse med en anerkendt specifikation (f.eks. DOD 5220.22-M).”

Det er altså ikke nok bare at trykke “slet” og “tøm papirkurv”, hvis man vil være helt sikker på, at data er helt slettet.

Certificeret Certus Partner

Som Certificeret Certus Partner er vi eksperter inden for datasletning, og ved hvordan vi sletter data, så det er 100% slettet.
Det er for omstændigt at lave en 100% sikker datasletning hver gang, der skal slettes informationer om bare én registreret person, og det er heller ikke et krav. Men når det gælder udfasning af brugt udstyr (f.eks. Når arbejdscomputere skal udskiftes), skal man være opmærksom på at data er helt slettet – og her er det et krav, at det skal kunne dokumenteres.

Som Certificeret Certus Partner sikrer vi, at alt håndtering af datamedier, herunder både sletning og destruktion af data, efterlever de krav forordningen foreskriver. Og vi genererer en rapport over sletning af hvert enkelt datamedie, så dokumentationen er helt i orden for vores kunder.

Det blev et ret langt blogindlæg, men persondataforordningen er da også noget af en størrelse. Vi kunne sagtens have skrevet et længere blogindlæg, og gået dybere ned i detaljerne, men det er ikke meningen her. Vil du gerne selv dykke dybere ned i persondataforordningen, kan du læse hele forordningen lige her. Læs også, hvordan vi hjælper virksomheder med at sikre dokumentationskravet ved sletning af data.

Læs også vores blogindlæg om, hvorfor sikker datasletning er vigtig